【负载均衡大讨论，参与有礼】TCP/HTTP 负载均衡利器-- HAProxy

laputa73

对了。haproxy配合keepalived和heartbeat有和区别吗？
一直都用的keepalived,比较简单。

Godbach

回复 79# 天骄老祖

暂时应该主要以看配置文档为主了。

随后抽点时间，可以考虑系统整理一些  HAProxy 的配置使用等介绍。


   

Godbach

回复 80# laputa73

我也就是简单配置过 KeepAlived + HAProxy，是配置比较简单。


   

coldgin

分享一个最近的haproxy安全加固案例

【背景介绍】
内网服务器需要发布80端口到公网。
传统的做法是在公网设备上做DNAT，映射80端口。
想提高安全性，这次打算通过 HAProxy做反向代理，来实现发布。
同时，因为访问80端口的用户是固定的，通过HAProxy的ACL限制指定的IP可以访问80。
最后的结构为  公网设备 => HAProxy => 80端口服务器。
【配置】

listen 0.0.0.0:80
        bind :80
        mode tcp
        acl allow_ip src 192.168.0.0/16     /* 允许源IP为192.168.0.0/16网段可以访问 */
        tcp-request content accept if allow_ip
        tcp-request content reject
        server testweb 1.1.1.1:80


【后续】
对于用反代来做发布，貌似已经是主流做法了。
不过这还是我第一次这样使用
HAProxy的ACL这个Feature还是很好使用的，这次体会到了，增加一层反代带来的扩展性的好处了。

看了下，HAProxy做WAF，防DDOS的方面也有案例，但自己没有做过。
关于反代的安全加固，欢迎大家分享好的经验。

coldgin

问题讨论

最近想用HAProxy来反代网站，但是一直不成功。具体表现就是网站打不开。

是不是HAProxy不支持反代公网网站

Godbach

回复 84# coldgin

贴一下你的配置吧。

HAProxy 后端 realserver 的配置是支持 domain 的，而且现在新版的，好像还可以定期的进行 DNS resolve。


   

Godbach

回复 83# coldgin

很赞的分享。

用 HAProxy 的好处在于，你可以根据实际的内容做更深度的 ACL。传统的 NAT 和 iptables，主要就是对于 IP 以及 port 做一些限制。


   

Godbach

回复 83# coldgin

listen 0.0.0.0:80
        bind :80
        mode tcp
        acl allow_ip src 192.168.0.0/16     /* 允许源IP为192.168.0.0/16网段可以访问 */
        tcp-request content accept if allow_ip
        tcp-request content reject
        server testweb 1.1.1.1:80

你这个配置，没有充分体现出来 HAProxy 作为应用层代理的优势。 就以上的配置，用 iptables 加 NAT 就可以搞定的。

HAProxy 可以对内容进行深度的过滤，比如你配置为 http 的模式。那么就可以在 ACL 中配置过滤各种 hdr 了。对于一些非法 header，或者爬虫的，不希望服务。就可以通过过滤 User Agent 之类的禁止访问。

   

coldgin

回复 87# Godbach


主要我這個場景，也不是太複雜，所以mode=tcp就夠用了，能夠滿足需求，就沒有使用http了

Godbach

回复 88# coldgin

嗯，是的。TCP 模式的话，性能还要好一些。够用就行。